“A propósito do artigo de opinião “Referências Multibanco fraudulentas: Banco de Portugal e SIBS têm que agir”, de Rui Martins, publicado no Observador a 22 de março de 2023, o Banco de Portugal gostava de esclarecer o seguinte:

• Sobre a entidade “21800”

A responsabilidade pela criação, gestão e manutenção dos códigos relativos às entidades beneficiárias de pagamentos efetuados ao abrigo da funcionalidade “pagamento de serviços/compras”, disponível na rede Multibanco e no homebanking de alguns bancos, está cometida à SIBS Forward Payment Solutions, S.A. (SIBS FPS), pelo que o Banco de Portugal não detém informação sobre a identificação do titular do código identificador da entidade Multibanco em causa ou sobre os detalhes comerciais que possibilitam que essa entidade disponibilize os seus serviços a potenciais clientes.

Sem prejuízo, e assumindo que a informação ínsita no artigo de opinião está correta, esclarecemos que a entidade visada se encontra registada no Banco de Portugal, com o código n.º 9971, autorizada pelo Banco Central dos Países-Baixos e registada ao abrigo do regime de livre prestação de serviços na União Europeia.

A supervisão direta desta entidade compete, portanto, ao Banco Central dos Países-Baixos, onde a entidade tem a sua sede e onde obteve a sua autorização e registo para início de atividade. 

A figura da livre prestação de serviços no âmbito da prestação de serviços de pagamento, as atribuições das autoridades competentes de cada Estado-Membro e as regras de cooperação entre ambas, encontram-se definidas no quadro legal em vigor, estabelecido, a nível europeu, pela Diretiva (UE) 2015/2366 do Parlamento Europeu e do Conselho de 25 de novembro de 2015, e transposto em Portugal pelo Decreto-Lei n.º 91/2018, de 12 de novembro, que aprovou em anexo o Regime Jurídico dos Serviços de Pagamento e da Moeda Eletrónica (RJSPME). 

No âmbito do disposto no RJSPME, o Banco de Portugal investiga e dá sequência a todas as situações suscetíveis de incumprir com o quadro legal e regulamentar em vigor pelas entidades que operam em Portugal, mas não tem qualquer competência para revogar a autorização de instituições com sede fora de Portugal.

• Sobre a rede Multibanco

A Rede Multibanco é gerida pela SIBS FPS, uma entidade privada sobre a qual o Banco de Portugal não detém poderes específicos de supervisão comportamental ou prudencial.

• Sobre o phishing e fraude

A propósito da situação descrita no artigo, importa referir que, de acordo com a informação divulgada periodicamente pelo Centro Nacional de Cibersegurança, tem-se verificado, em linha com a tendência europeia, um aumento expressivo da incidência de ataques de phishing e outros incidentes de cibersegurança nos últimos anos com um foco específico no setor bancário pelas suas características.

Os dados relativos a fraude em serviços financeiros e, em particular, em serviços de pagamentos, são publicados periodicamente pelo Banco de Portugal e pela Autoridade Bancária Europeia. De acordo com os dados mais recentes, Portugal apresenta taxas de fraude por número e volume de operações em quase todos os instrumentos de pagamentos menores do que a média europeia. 

• Sobre a atuação do Banco de Portugal

O Banco de Portugal, em linha com as restantes autoridades competentes de regulação e supervisão do setor financeiro em toda a União Europeia, atribui a máxima importância às questões relacionadas com a cibersegurança, tendo, por isso, inscrito esta dimensão no seu Plano Estratégico 2021-2025 sob a linha de orientação estratégica de proteção do mercado bancário.

Neste âmbito, o Banco de Portugal tem desenvolvido e continuará a desenvolver várias atividades com vista a minimizar os impactos do risco de cibersegurança das instituições financeiras e infraestruturas do mercado financeiro, para os clientes bancários e para as próprias instituições, procurando proteger a estabilidade financeira e a confiança dos consumidores.

Estas iniciativas, que se enquadram num regime regulatório cada vez mais exigente, apostam numa lógica de cooperação com o setor e com outras autoridades relevantes que visa promover a segurança comum. Destas iniciativas, destacam-se:

1. A realização de várias campanhas de consciencialização para os riscos de segurança nos canais digitais. Destaca-se a campanha de educação financeira #Ficaadica, cujas brochuras podem ser encontradas no Portal do Cliente Bancário;
2. A investigação, comunicação às autoridades judiciais e divulgação de entidades não autorizadas a prestar determinados serviços financeiros reservados, sobretudo com recurso a canais digitais;
3. A realização de várias ações de supervisão dirigidas a instituições, nomeadamente: inspeções nas instalações, testes de resiliência operacional no âmbito do quadro de referência TIBER-PT e uma monitorização constante de incidentes de cibersegurança significativos e incidentes operacionais e de segurança severos reportados ao Banco de Portugal, análises transversais dos riscos operacionais e de segurança relacionados aos serviços de pagamento, etc;
4. A análise de reclamações de clientes bancários, de forma a avaliar o cumprimento do quadro normativo que regula a realização de operações de pagamento não autorizadas e a observância dos requisitos de segurança (autenticação forte).

Adicionalmente, e mais recentemente, o Banco de Portugal tem cooperado ativamente com outras autoridades, nomeadamente, a ANACOM, CNCS e PJ, com vista a procurar soluções globais que permitam mitigar algumas das insuficiências mais relevantes detetadas neste âmbito.

Os dados observados em Portugal comprovam a eficácia da atuação das diversas autoridades e das instituições bancárias na prevenção e mitigação de incidentes de cibersegurança e fraude.

O Banco de Portugal continuará a desenvolver, no âmbito das suas competências e do quadro legal em vigor, as ações necessárias para dar cumprimento à prioridade estratégica de proteção do mercado bancário dos riscos de cibersegurança e fraude, cooperando com as instituições financeiras e infraestruturas de mercado e com as outras autoridades relevantes, com especial foco nas questões mais prementes como o phishing e a fraude.“

Para saber mais:
https://cidadaospelaciberseguranca.com/2023/03/19/peticao-contra-as-burlas-por-referencia-multibanco/